SweRAT > [Guide] Poision Ivy

Help - Search - Members - Calendar

Full Version: [Guide] Poision Ivy

SweRAT > SweRAT > Artiklar

Retard

2007-10-17 10:44

Poision Ivy-RAT Guide

Skriven av: Retard

Innehållsförteckning:

Introduktion
First comes first
Programmet
Ny server
- Profiles
- Connection
- Install
- Advanced
- Build
Testa servern
Avinstallation
Författarens ord

Introduktion
Här kommer en till guide, skriven av mig, denna gång ska jag gå igenom hur man konfigruerar en Poision Ivy server.
Poision Ivy är en RAT, det vill säga ett Remote Administation Tool, ett verktyg för att administrera datorer och servrar på ett enkelt vis.
Som vanligt kan det existera extremt mycket fel, både i form som stavfel och beskrivningar som inte stämmer överrens med verkligheten. Hittar du något fel kan du skriva ett PM till mig.

First comes first
För att göra dig medveten om varför mycket kan gå fel är denna text tillägnad just dig. Det är nämligen så att antivirusföretag anser att dessa administratörsverktyg som Poision Ivy samt Bifrost är ett verktyg för att ta över datorer med. Dessa företag upplever att användarna i regel kan använda detta program till att utföra olagliga aktiviteter med. Det är således inte ologiskt att just ditt antivirus blockerar de filer som skapas eller laddas ned.

För att komma undan problemet med antivirus får du skapa ett undantag eller liknande, det gör du väldigt ofta i inställningarna för ditt antivirus, eftersom att antivirusföretagen skiljer sig så pass mycket ifrån varandra kan jag inte ge en exakt beskrivning på hur du gör ett undantag. Det får du lösa själv, på ett eller annat vis.

Om du inte kan göra undantag för ditt antivirus eller för din brandvägg kan du söka runt lite här på SweRAT, ett tips att söka på är "UD-crypter" eller liknande, det finns vissa program som gör din fil oupptäckt av antivirus. Men självfallet försöker även antivirusen upptäcka de filerna som försöker gå förbi deras säkerhet. Möjligheten är stor att även din fil blir upptäckt när du använt din UD-crypter, vill du vara 100% säker på att Poision-Ivy RAT inte är upptäckt kan du ta i kontakt med skaparen av Poision-Ivy och be om att få köpa en privat version.

Programmet
När du laddat ned Poision-Ivy kommer du få en .rar-fil, denna fil öppnar du med förslagsvis WinRAR eller WinZip eller dylika program. När du öppnat filen i WinRAR kan du trycka på "Packa upp till" som det heter i den svenska versionen av WinRAR, packa sedan upp Poision-Ivy i en lämplig mapp.

När du öppnar Poision-Ivy för första gången kommer det att komma fram en ruta, för att komma vidare till programmet måste du klicka på "Yes", när du trycker på Yes accepterar du även de villkor som krävs för användning av detta program. För att använda programmet måste du därför acceptera att inte använda programmet till olagliga aktiviteter, sedan avsäger sig programmeraren allt ansvar för dataförlust och dylika problem som kan uppstå vid användning av programmet.

På bilden ovan ser du programmet när man först öppnar det, längst upp har du en meny, där kan man göra diverse inställningar och hitta information om Poision Ivy samt vilken mailadress man ska maila till om man kan behöva support.
Längst ned kommer du även att kunna se vilken version av Poision Ivy du har, i mitt fall är det 2.3.0 som i skrivande stund är den nyaste versionen som är tillgänglig för allmänheten.

Ny server
För att bygga din första server ska du förflytta dig till menyn, det vill säga, klicka på "File" följt av "New server".
Du kommer nu att se en helt annorlunda ruta istället för den första du såg. Kolla på bilden nedan.

Profiles
Det första du behöver göra är att skapa en ny profil, för att göra detta klickar du förslagsvis på "Create Profile".
Du kommer genast bli ombedd att skriva in ett nytt namn för din profil, var kreativ.
När du klickat på Okej kommer du komma till en ny inställning, nämligen "Connection"

Connection

På "DNS/Port:" ska du skriva din egna IP-adress eller egna DNS, det är hit datorn du ska ha kontroll över kommer att försöka ansluta. Om ditt IP ändras för jämnan är det ett klokt val att använda no-ip.com eller DynDNS.com

Alternativet som är döpt till "Hijack Proxy" är ett alternativ som tillåter dig att använda användarens proxy-inställningar ifrån Internet Explorer.
Det alternativ som är lite under Hijack Proxy heter "Persistent (keep trying until found)", detta alternativ gör att servern inte tänker ansluta till dig förrän det finns en proxy i Internet Explorer att använda (används endast om man använder proxy-inställningar på sin andra dator!). Det är väldigt sällan man får nytta av den funktionen.

Precis under kommer du även att hitta ID, Group samt Password:
ID råder jag dig till att vara som det står där, det är först när du har olika profiler du kan behöva byta texten i ID-fältet.
Group är ett alternativ för dig som vill hålla koll på dina servrar, om du har en ekonomiavdelning på ditt jobb och vill hålla isär de datorerna ifrån verkstan kan det vara vettigt att skriva in grupper.
Password kommer göra att bara du kommer kunna få tillgång till servrarna. Om du haft ett internt IP (eller externt) du använt för att få tillgång till servern med och någon annan dator får det IPt kommer det ej vara möjligt för dem att ta kontroll över alla datorerna utan rätt lösenord.

Om du vill använda en nyckelfil som ersättare för ditt lösenord kan du välja det istället, klicka i "Use key File" och generera en nyckel. Denna nyckel kommer att hamna i din profil-mapp sedan, detta gör att du slipper tänka på lösenordet i ett senare skede. Det blir således mindre för den late att komma ihåg.

Install
När du klickat nästa i förra steget kommer du nu komma till nästa flik, vid namn Install.

Det första alternativet heter "ActiveX Startup", detta är en metod som fungerar som autostart, man bör notera att detta endast fungerar om användaren som kör filen är administratör.

Copy File är alternativet under ActiveX Startup, det är här du ska ställa in ett nytt filnamn samt vart den ska kopieras. Du kan välja mellan att placera den kopierade filen till System-mappen eller till Windows-mappen, det är helt upp till dig, glöm inte bort filändelsen på filen bara.

Melt är en funktion som kommer att ta bort ursprungsfilen ifrån datorn när den körs första gången.
T.ex: Jag har ställt in att min fil ska kopieras till System-mappen, samt bockat i "Melt". När användaren kör server-filen kommer den att tas bort samt kopieras till system-mappen.

Key Logger är funktionen under Melt, detta är en funktion som aktiverar en loggningsfunktion av knapptryckningar på datorn. Det vill säga, skriver du ett viktigt dokument samtidigt som du har denna funktion aktiverad kommer du att kunna se vad du skrivit i efterhand, detta kan vara vettigt utifall att man råkar stänga ned dokumentet eller om man råkar ta bort vital text.

Persistance kan vara klurigt att lista ut om man inte letar fram sitt lexikon, denna funktion kommer att hålla din server vid liv. Oavsett om någon råkar stänga ned processen med flit eller av misstag kommer den att starta igen. I vissa fall är det bra att ha detta alternativ igång, vid tillfällen då man verkligen behöver ha servern igång hela tiden är detta att rekomendera.
Vid andra tillfällen är det bara jobbigt om servern ska starta igen när man faktiskt försökt ta bort den.

Advanced
Vi går raskt vidare till de avancerade inställningarna, det första vi kommer att hitta är "Process mutex", detta är en form av identifikation. En mutex måste vara unik för att kunna användas. Man vill oftast ändra mutex på en server om man vill köra fler servrar på en och samma dator.
Vet du inte hur en mutex ska vara uppbyggd bör du inte ändra den. Som det säger på informationsknappen bredvid ska du endast använda denna funktion om du verkligen vet vad du sysslar med.

Ett steg längre ned kommer du nu att se Key Logger Mutex, detta har samma princip som Process Mutex. Ändra inte detta värde om du inte vet vad du håller på med.

Vidare till "Inject into custom process", här kan du ställa in i vilken process Poision Ivy ska försöka injicseras i, sker ett misslyckande efter det fjärde försöket kommer Poision Ivy automatiskt injicseras in i datorns standardwebbläsare.

Nedan står det även Format, så länge du inte vet vad 'shellcode' betyder och hur detta alternativ fungerar ska du inte ändra någonting över huvud taget. Lämna det som det är och du blir en lyckligare människa.

Build
Du har nu klickat dig vidare till Build, här kan du ställa in vilken ikon servern ska använda sig av. Självfallet är det .ico-filer du ska leta reda på. Om du anser att din fil ser lite misstänksamt liten ut kan det vara en idé att använda en stor ico-fil för att öka filstorleken.

Execute Third-Party Application after build är en funktion för dig som vill packa din server med t.ex. upx eller egen crypter/binder, %s står för filnamnet, det vill säga, har du ett filnamn som heter min-server.exe kommer programmet att köra "upx.exe min-server.exe". Ändra detta vid behov, i annat fall kan du låta det vara, eller inte använda det över huvud taget.

När du anser dig vara färdig med alla inställningar bör du vara redo att klicka på "Generate".
När du gjort detta kommer en dialogruta upp där du ska ange vart du ska spara din server, och med vilket filnamn, ange ett filnamn och en lämplig mapp och tryck på "Save".
Kika sedan i den stora rutan, står det "Done!" längst ned är servern skapad korrekt, om så inte är fallet kan någonting ha gått fel, gå igenom guiden igen och leta efter felet, eller sök på forumet efter personer som haft liknande problem.

Testa servern
Om du vill testa servern på din egna dator kan du leta dig fram till mappen där du sparade filen. Dubbelklicka nu på denna.
Svårare än så bör det inte vara. Du har nu installerat din server, för att kunna kontrollera din server är det dags att hitta anslutningar ifrån den.
Klicka på File följt av New Client.

Fyll sedan in inställningarna ni hade när ni byggde servern, jag har inte ändrat någonting och använde därför standardinställningarna, således är det bara att klicka på Start för att börja se resultat.

På bilden ovan kommer du se fönstret du kommer till när du klickat på Start. Än så länge är det inte mycket vi kan göra, men om vi väntar ett tag kommer vi få någonting liknande bilden nedan.

En söt liten popup-ruta säger mig att en dator vill kommunicera med mig. Om du tar en titt in i den stora rutan igen kommer du troligen att se en anslutning där, ännu är det inte mycket man kan göra, för att få lite alternativ och faktiskt använda detta verktyg dubbelklickar du på servern. Ett liknande fönster som på bilden nedan kommer du att se nu, det är här du ska hålla till när du administrerar dina datorer.

I vissa fall kommer du inte att få fram någon information, testa t.ex. att gå in på "Processes", det står ingenting i rutan, vilket kan vara lite underligt.
Anledningen är att Poision-Ivy inte ska behöva göra detta åt dig automatiskt om du inte vill se processerna, högerklicka således i den stora rutan och klicka på "refresh".

Jag tänker inte gå igenom alla funktioner som finns i Poision-Ivy, jag låter dig utforska dem själv och i egen takt.

Avinstallation
Har du kommit till den punkten då du inte behöver Poision Ivy längre?
Högerklicka då på servern och tryck på Uninstall följt av "Yes".

Författarens ord
Jag hoppas att guiden inte var för lång, och inte för kort.
Fattas det någonting är det bara att skicka ett PM till mig.
Jag vill även passa på att tacka mama, shapeless samt Codius för att på olika sätt och vis hjälpt mig med denna guide.

This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.